编者按

本期技术分享感谢美亚柏科技术专家。随着的普及，不法分子也盯上了这块“肥地”，利用诈骗的案件也连连发生，使得人心惶惶。本期，美亚技术专家就着诈骗的热点问题与大家分享利用安卓模拟器进行诈骗调查的案例的相关知识，欢迎大家前来围观并加入我们的讨论！

近期以来，利用多开方式进行诈骗的案例日益增多，多数违法人员选择使用计算机上的各类安卓模拟器运行多个，进行酒托、证券投资、在线赌博等方式的诈骗违法犯罪行为。本文我们选择一个利用安卓模拟器进行虚假期货投资平台进行诈骗的案件为例，介绍此类行为的调查方法和主要思路。

通过搜索可以发现，目前流行的几种PC端安卓模拟器主要包括“夜神模拟器”、“叶子猪模拟器”和“海马玩模拟器”等，这些主流模拟器主要用于在PC上模拟安卓系统运行各类手机游戏；以“夜神模拟器”为例，在安装完成后，该应用程序文件夹下可以很容易找到名为“BignoxVMS”的文件夹，其目录下根据模拟器的数量，存在不同的虚拟机文件夹，如图1所示，对应文件夹下是扩展名为vmdk的虚拟机磁盘文件。

图1“夜神模拟器”目录

图2虚拟机文件

至此，可以相对直观地了解到，此类安卓模拟器是利用计算机端虚拟机程序预先配置安卓虚拟机镜像，随后根据用户需要制作不同副本实现安卓多开。那么，针对此类虚拟机的调查思路可以归结为以下流程：

图3取证流程

近日，某地执法部门在一起利用进行虚假期货现货投资进行诈骗活动的调查中发现，团伙使用了计算机模拟器同时打开多个，冒充年轻女性身份在互联网上进行诈骗违法犯罪活动，经过前期工作，得到所使用的计算机，现需要对该计算机中安卓记录进行提取。

1、确定虚拟机磁盘文件位置

使用计算机取证软件快速过滤所有虚拟机磁盘文件，扩展名为“*.vmdk”,如下图4所示。

图4过滤虚拟机磁盘文件

图5过滤结果

过滤后找到数十个虚拟机磁盘文件，全部将其导出到本地。

2、加载虚拟机磁盘文件

在目前主流的计算机取证软件中，vmdk虚拟机磁盘文件可以作为磁盘镜像文件直接加载，以取证大师为例，将上步中导出的所有虚拟机磁盘文件加载至取证大师。

图6加载vmdk磁盘镜像文件

3、过滤安卓数据文件夹

安卓版本数据默认存在于/data下，文件夹名称为“







































北京白癜风专科医院那里最好
治疗白癜风有什么好办法